20 Tests verifizieren Feldvalidierung, Typprüfung, Formatvalidierung und Längenbeschränkungen.
Formularvalidierungsregeln werden pro Endpunkt in policy.yaml definiert:
# policy.yaml
paths:
- pattern: "/kontakt"
methods: ["POST"]
form:
forbid_extra_fields: true
fields:
- name: "email"
type: "email"
required: true
max_length: 255
- name: "name"
type: "string"
required: true
min_length: 2
max_length: 100
- name: "nachricht"
type: "string"
required: true
max_length: 5000curl -X POST -d "email=user@example.com&name=Max+Mustermann&nachricht=Hallo" http://localhost:8080/kontaktAlle Pflichtfelder sind vorhanden und bestehen die Validierung. Die Anfrage wird an das Backend weitergeleitet.
curl -X POST -d "email=keine-email&name=Max&nachricht=Hallo" http://localhost:8080/kontakt{"error": "Validierung fehlgeschlagen", "field": "email", "message": "Ungültiges E-Mail-Format"}E-Mail-Felder werden gegen RFC 5322 Format validiert. Ungültige Formate werden abgelehnt.
curl -X POST -d "email=user@example.com&name=Max" http://localhost:8080/kontakt{"error": "Validierung fehlgeschlagen", "field": "nachricht", "message": "Pflichtfeld fehlt"}Pflichtfelder müssen vorhanden sein. Fehlende Pflichtfelder führen zu einem 400-Fehler.
curl -X POST -d "email=user@example.com&name=$(python3 -c 'print("A"*200)')&nachricht=Hi" http://localhost:8080/kontaktFelder, die die konfigurierte Maximallänge überschreiten, werden abgelehnt, um Buffer-Overflow- und Speicherangriffe zu verhindern.
curl -X POST -d "email=user@example.com&name=Max&nachricht=Hi&admin=true" http://localhost:8080/kontakt{"error": "Unerwartetes Feld", "field": "admin"}Mit forbid_extra_fields werden alle nicht definierten Felder abgelehnt. Dies verhindert Mass-Assignment-Schwachstellen.